Worm.Bronko.C

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Logfile of HijackThis v1.99.1
Scan saved at 16:33:16, on 22.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\New Folder\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Hitno mi je potrebna pomoc, radi se o mrezi od 10-tak racunara, na ruter i ADSL
Probao sam sa ewido anty-spyware (vido iz foruma), ali ne pomaze...
Moze li neko da mi pomogne???

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

promeni ime HijackThis.exe u npr ht2.exe i napravi novi log i postuj ga ovde.

ako mozes aploaduj fajlove koje ti je antivirus detektovao (spakuj ih u rar ili zip)
upload
http://www.mycity.rs/ambulanta-upload.php

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da, uspesno sam uradio... Samo sam ja ovde lice... svi ostali surfaju a ja ga nadrljam...
Elem, dva puta sam pustao ewido, ali uvek ostane nesto...
{Ime direktorijuma}.exe
Ovo je jedan od racunara u mrezi, dali se zato ponovo javlja???
Mozda moram da sve skinem sa mreze i svaki da cistim zasebno???

Dopuna: 22 Apr 2007 18:05

Idem da me riba gazda, vracam se za jedan sat.
Verovatno ce mi reci da ne idem kuci dok ne resim problem...
A problem je veliki, programeri prebacuju problem na mene, zaposljeni nemaju pojma, a ja samo cekam kad ce sve da "pocrka"
Pomagajte, dok ne bude kasno (za mene).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

po onom sto sam do sad saznao trebalo bi da si ga zakacio preko maila.

potrazi sledece fajlove na disku:
Baca Bro !!!.txt
At1.job
At2.job
c.bron.tok.txt

Dopuna: 22 Apr 2007 19:51

nod je trebao da ga otkloni.
Ako mozes napravi screenshot poruke koju nod izbacuje kad ga detektuje.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nema ni jedan od ovih fajlova, pustam onaj ewido i svaki put drugacije...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kolega nije tu, pa da upadnem ja na brzaka:
- bitan je screenshot NOD kada pokaze da ga je nasao, posto on tamo obicno napise i koji program ga je kreirao
- probaj sledeci programcic koji je napravljen posebno za ovu infekciju: http://www.sophos.com/support/cleaners/brontgui.com

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

OK!, sad cu da probam, samo jos jedan detalj:
Cela mreza je zarazena, imali i to veze?
Kakva je tu procedura ciscenja?
Mislim, dali virus igra "pingpong" kroz mrezu? Pa ga ja uzalud cistim?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ovo bi trebao da je mail-worm, tj. da se siri kroz mailove, ali ko zna...
Ja bih za svaki slucaj iskljucio mrezu dok se ne zavrsi ciscenje.

Dopuna: 25 Apr 2007 19:17

Sta je bilo sa ovim, dokle se doguralo?